การตอบสนองต่อช่องโหว่และกระบวนการเปิดเผยข้อมูล

รายงานความผิดพลาด

คุณสามารถรายงานความผิดพลาดด้านความปลอดภัยที่คุณพบด้วยวิธีต่อไปนี้
อีเมล
Safety@solplanet.net

ส่งรายงานความผิดพลาดทางออนไลน์

เวลาตอบสนอง

เราจะตรวจสอบภายใน 3 วันทำการหลังจากได้รับรายงานและดำเนินการประเมินเบื้องต้น การประเมินจะเสร็จสิ้นภายใน 7 วันทำการ และจะแก้ไขข้อผิดพลาดหรือจัดทำแผนแก้ไข

ความผิดพลาดที่มีความเสี่ยงร้ายแรงจะได้รับการแก้ไขภายใน 7 วันทำการหลังจากการประเมินเสร็จสิ้น ความผิดพลาดที่มีความเสี่ยงสูงและปานกลางจะได้รับการแก้ไขภายใน 30 วันทำการ ความผิดพลาดที่มีความเสี่ยงต่ำจะได้รับการแก้ไขภายใน 180 วันทำการ โปรดทราบว่าความผิดพลาดบางอย่างขึ้นอยู่กับสภาพแวดล้อมหรือฮาร์ดแวร์ เวลาตอบกลับสุดท้ายจะถูกกำหนดตามสถานการณ์จริง

รอบการสนับสนุนการอัปเดตความปลอดภัยของผลิตภัณฑ์

เพื่อปกป้องลูกค้าของเรา AISWEI จะให้การสนับสนุนการอัปเดตด้านความปลอดภัยอย่างน้อย 3 ปีสำหรับผลิตภัณฑ์ IOT หากคุณเชื่อว่าคุณได้ค้นพบความผิดพลาดด้านความปลอดภัยหรือความเป็นส่วนตัวที่ส่งผลกระทบต่ออุปกรณ์ ซอฟต์แวร์ บริการ หรือเว็บเซิร์ฟเวอร์ของ AISWEI โปรดรายงานให้เราทราบ เรายินดีให้ทุกคนรายงานปัญหา รวมถึงนักวิจัยด้านความปลอดภัย นักพัฒนา และลูกค้า AISWEI จะแก้ไขความผิดพลาดด้านความปลอดภัยในผลิตภัณฑ์ของเราอย่างรวดเร็วและระมัดระวัง

เกณฑ์การให้คะแนนระดับความผิดพลาด

ปัญหาต่อไปนี้ไม่ใช่ความผิดพลาด:
1. ข้อบกพร่องที่ไม่เกี่ยวข้องกับปัญหาด้านความปลอดภัย รวมถึงแต่ไม่จำกัดเพียงข้อบกพร่องด้านการทำงานของผลิตภัณฑ์ หน้าเว็บที่อ่านไม่ออก สไตล์ที่สับสน การข้ามผ่านไดเร็กทอรีไฟล์แบบคงที่ ความเข้ากันได้ของแอปพลิเคชัน และปัญหาอื่นๆ
2. ช่องโหว่ที่ไม่สามารถใช้ประโยชน์ได้ CSRF โดยไม่มีการดำเนินการที่ละเอียดอ่อน การรั่วไหลของข้อมูลที่ผิดปกติโดยไม่มีความหมาย การรั่วไหลของที่อยู่ IP/ชื่อโดเมนของอินทราเน็ต
3. ปัญหาอื่น ๆ ที่ไม่สามารถสะท้อนถึงการมีอยู่ของช่องโหว่ได้โดยตรง รวมถึงแต่ไม่จำกัดเฉพาะประเด็นที่เป็นการเดาล้วนๆ

ความผิดพลาดที่มีความเสี่ยงต่ำ:
1. ความผิดพลาดที่อาจส่งผลกระทบบางอย่างแต่ไม่สามารถได้รับอนุญาตจากอุปกรณ์โดยตรงและส่งผลต่อความปลอดภัยของข้อมูล เช่น การเปิดเผยข้อมูลที่ไม่สำคัญ การเปลี่ยนเส้นทาง URL ความผิดพลาดด้านความปลอดภัย XSS ที่ยากต่อการใช้งาน ความผิดพลาด CSRF ทั่วไป
2. การดำเนินการทั่วไปโดยไม่ได้รับอนุญาต รวมถึงแต่ไม่จำกัดเฉพาะการอ้างอิงวัตถุโดยตรงที่ไม่ถูกต้อง
3. ข้อบกพร่องในการออกแบบลอจิกทั่วไป รวมถึงแต่ไม่จำกัดเพียงการข้ามรหัสยืนยันทาง SMS การข้ามการยืนยันทางอีเมล

ความผิดพลาดที่มีความเสี่ยงปานกลาง:
1. ความผิดพลาดของการได้รับข้อมูลประจำตัวของผู้ใช้โดยตรง รวมถึงแต่ไม่จำกัดเฉพาะความผิดพลาด XSS ที่เก็บไว้
2.ความผิดพลาดของการดำเนินการข้อความโดยพลการ รวมถึงแต่ไม่จำกัดเฉพาะการอ่านไฟล์ การเขียน การลบ การดาวน์โหลด และการดำเนินการอื่นๆ
3. การเข้าถึงโดยไม่ได้รับอนุญาต รวมถึงแต่ไม่จำกัดเพียงการแก้ไขข้อมูลผู้ใช้ และการดำเนินการของผู้ใช้โดยหลีกเลี่ยงข้อจำกัด

ความผิดพลาดที่มีความเสี่ยงสูง:
1. ความผิดพลาดของการได้รับสิทธิ์เซิร์ฟเวอร์ธุรกิจโดยตรง รวมถึงแต่ไม่จำกัดเพียงการดำเนินการคำสั่งโดยอำเภอใจ การอัปโหลดเว็บเชลล์ การดำเนินการรหัสโดยอำเภอใจ การแทรกคำสั่ง การดำเนินการคำสั่งระยะไกล
2. ความผิดพลาดเชิงตรรกะที่มีผลกระทบโดยตรงและรุนแรง รวมถึงแต่ไม่จำกัดเพียงช่องโหว่ในการเปลี่ยนรหัสผ่านของบัญชี
3. ความผิดพลาดที่สามารถขโมยข้อมูลประจำตัวของผู้ใช้โดยตรงเป็นชุดๆ รวมถึงแต่ไม่จำกัดเฉพาะการฉีด SQL
4. การเข้าถึงโดยไม่ได้รับอนุญาต รวมถึงแต่ไม่จำกัดเพียงการข้ามการตรวจสอบสิทธิ์เพื่อเข้าถึงส่วนหลังของผู้ดูแลระบบโดยตรง และรหัสผ่านที่ไม่รัดกุมในส่วนหลัง

ความผิดพลาดที่มีความเสี่ยงร้ายแรง:
1. เข้าถึงการอนุญาตระบบหลักโดยตรง ความผิดพลาดที่อาจเป็นอันตรายต่ออินทราเน็ตโดยตรง รวมถึงแต่ไม่จำกัดเพียง: การดำเนินการคำสั่ง รีโมตโอเวอร์โฟลว์ และความผิดพลาดอื่นๆ
2. ความผิดพลาดที่สามารถรับข้อมูลผู้ใช้หลักจำนวนมาก
3. ความผิดลพลาดเชิงตรรกะที่มีผลกระทบโดยตรงและร้ายแรง ความผิดลพลาดรวมถึงแต่ไม่จำกัดเพียง: ข้อผิดพลาดทางตรรกะที่ร้ายแรง ความผิดลพลาดที่สามารถรับผลประโยชน์จำนวนมากและก่อให้เกิดความสูญเสียต่อบริษัทและผู้ใช้